DEFCON 21 Round2 NFPC: Write up

DEFCON 2013 Network Forensics Puzzle Contest: Track Star

Betty attempts to keep her tracks covered as she establishes a meeting location with Gregory. 
Use the Round 2 packet capture in this folder to answer the following question: 

1. What city are they meeting? 

MD5 CHECKSUM:

round2.pcap:  
7d0273b7e867f90feb80ce31fe077c90

Remember: 
You must answer the question in this round, in order to unlock the next round of the contest. 

 

※문제 출처: LMG Security

 

 

문제의 핵심은 round 2 패킷을 분석해서 어느 도시에서 만나는지 알아내는 것이다.

WireShark를 이용해서 분석을 해보도록 하겠다.

 

Frame 6783

DCC(Direct Client-to-Client) SEND는 사용자가 파일을 보낼 수 있게 해주는 서비스다.

위에서 "DCC SEND r3nd3zv0us 2887582002 1024 819200"이 의미는 순서대로

DCC SEND <filename> <ip> <port> <file size>와 매칭된다.

즉, 'r3nd3zv0us'라는 이름의 파일을 1024번 포트로 전송했음을 알 수 있다.

 

 

41번 세션

41번 세션을 보면 메일을 주고 받으며 전한 메시지 내용이 적혀있다. 이를 디코딩 해보면

 

From: Betty Swindoll <betty_swindoll@aol.com>

To: d34thm3rch4nt <d34thm3rch4nt@aol.com>

Sent: Wed, Jul 3, 2013 10:01 am

Subject: Sorry

Hi Greg,  

I am so sorry I no-showed. I wanted to make sure you didn't bring any friends :) We can try and meet up again though! Here is the password for where you should meet me: S3cr3tVV34p0n 
Can't wait for you to get here!
Betty

-----------------------------------------------------------------------------------------------------------------------------

From: d34thm3rch4nt@aol.com

To: betty_swindoll@aol.com

Subject: Re: Sorry

Betty,
I've got the password, I'll be there
Greg

 

여기서 핵심은 'S3cr3tVV34p0n' 패스워드이다.

 

138번 세션

1024번 포트로 전송된 패킷을 보면 파일 크기가 819KB로 전에 DCC SEND 서비스를 이용해 전송한 파일 크기 819200과 유사함을 알 수 있다. 비밀번호가 제공되었으므로 암호화된 파일일 것이라 추측된다. raw데이터로 저장하여 복호화를 해보도록 하자.

 

VeraCrypt 툴을 이용

VeraCrypt 툴을 이용하여 복호화를 진행했더니 두 개의 파일이 나타났다.

 

추출 메시지

추출 이미지

둘은 LAS VEGAS에서 만나기로 한 것 같다.

 

KEY: LAS VEGAS